Symantec: profili utenti di Facebook a rischio

Symantec ha individuato un importante problema di sicurezza relativo a Facebook. Come riportato nel blog ufficiale dela società le informazioni personali e i dati potrebbero essere stati condivisi con soggetti interessati, tipicamente inserzionisti pubblicitari, ovviamente all'insaputa dell'utente. Il problema pare essere legato alla modalità con la quale l'utente autorizza volontariamente applicazioni sviluppate da terze parti ad interagire con il proprio profilo Facebook.

Chi utilizza il social network sa bene come avviene il tutto: cliccando su un link viene richiesta all'utente l'autorizzazione ad accedere ai propri dati personali e solo rispondendo in modo affermativo è possibile utilizzare l'applicazione. Secondo Symantec altri soggetti non autorizzati avrebbero potuto editare profili, accedere alle raccolte di immagini o agli strumenti di messaggistica.

La dinamica completa del processo di autenticazione è ben descritta nel blog di Symantec a questo indirizzo, ma in rapida sintesi il problema sta nelle caratteristiche del token utilizzato dall'applicazione autorizzata dall'utente per operare. Semplificando ulteriormente il discorso il token è una sorta di "chiave di riserva" fornita all'applicazione per accedere al network utilizzando le credenziali dell'utente.

Con il vecchio protocollo questa chiave di riserva viene trasferita in chiara tra applicazione e Facebook fornendo quindi, potenzialmente, la possibilità a siti esterni di entrarne in possesso. Inoltre, il token in linea di principio dovrebbe avere una scadenza di durata ma tale caratteristica dipende da specifici parametri. Secondo Symantec negli ultimi anni potrebbero essere centinaia di migliaia le applicazioni che hanno trasferito questi token a terze parti. Sfruttando poi opportune API sarebbe stato possibile trafugare informazioni dagli specifici account.

Facebook è stata informata del problema e le ultime modifiche documentate dovrebbero aver risolto l'inconveniente. Reuters.com indica però un commento da parte di Facebook un po' in contraddizione con i termini allarmistici di Symantec. Infatti,  Malorie Lucich presentata come portavoce del social network, afferma che nel report di Symantec ci sarebbero dei dati inaccurati: un'indagine di Facebook confermerebbe che questo problema di sicurezza non avrebbe al momento portato all'esposizione di dati verso terze parti.

Malorie Lucich sottolinea inoltre che nel documento di Symantec non si fa riferimento agli obblighi contrattuali sottoscritti da chi sviluppa applicazioni per Facebook, obblighi tra i quali vi è proprio quello di non condividere con terzi informazioni provenienti dai profili degli utenti. Facebook comunica anche di aver rimosso le API indicate da Symantec.